//img.uscri.be/pth/f96330072d507468d8b9b39856dcd91c50c66ede
La lecture en ligne est gratuite
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres
Télécharger Lire

cours-reseaux-linux

70 pages
Administration réseau. V : BibliographieIV-1.7 Tester le serveur de nom .......................................................................................... 55IV-1.8 Les problèmes de protocols ..................................................................................... 56IV-1.9 Conclusion ...............................................................................................................57IV-2 Sécurité .................................................................................................... 57—————————————————————————————————IV-2.1 Passwords ................................................................................................................57IV-2.2 UID, GID .................................................................................................................58IV-2.3 Les fichiers .............................................................................................................. 60IV-2.4 Applications.61IV-2.5 Les protections ......................................................................................................... 63IV-2.6 Conclusion.64V Bibliographie68 / 69Administration réseau. V : BibliographieII-3.2 La table de routage minimale .................................................................................. 24II-3.3 Construction d’une table de routage statique .......................................................... 25II-3.4 Les différents protocoles de routage . ...
Voir plus Voir moins

Administration réseau. V : Bibliographie
IV-1.7 Tester le serveur de nom .......................................................................................... 55
IV-1.8 Les problèmes de protocols ..................................................................................... 56
IV-1.9 Conclusion ...............................................................................................................57
IV-2 Sécurité .................................................................................................... 57
—————————————————————————————————
IV-2.1 Passwords ................................................................................................................57
IV-2.2 UID, GID .................................................................................................................58
IV-2.3 Les fichiers .............................................................................................................. 60
IV-2.4 Applications.61
IV-2.5 Les protections ......................................................................................................... 63
IV-2.6 Conclusion.64
V Bibliographie
68 / 69Administration réseau. V : Bibliographie
II-3.2 La table de routage minimale .................................................................................. 24
II-3.3 Construction d’une table de routage statique .......................................................... 25
II-3.4 Les différents protocoles de routage ........................................................................ 26
II-4 Configuration du DNS ............................................................................. 28
—————————————————————————————————
II-4.1 BIND ....................................................................................................................... 28
II-4.2 Configuration du resolver ........................................................................................ 29
II-4.3 Configuration de named .......................................................................................... 30
II-4.4 Utilisation de nslookup ............................................................................................ 34
III Applications
III-1 La famille des commandes ‘r’ .................................................................. 36
—————————————————————————————————
III-1.1 Le fichier /etc/hosts.equiv ....................................................................................... 37
III-1.2 Les fichiers .rhosts ................................................................................................... 37
III-2 Applications de base : telnet, ftp .............................................................. 38
III-3 Le mail : courrier électronique ................................................................. 40
III-3.1 Sendmail le démon SMTP 40
III-3.2 Sendmail le pourvoyeur d’alias ............................................................................... 41
III-3.3 Sendmail le centre de tri .......................................................................................... 42
III-3.4 Au rayon farces et attrapes : sendmail ..................................................................... 42
III-4 NIS : Network Information Service ......................................................... 43
—————————————————————————————————
III-4.1 Mise en place de NIS ............................................................................................... 44
III-4.2 Le fichier /etc/netgroup ........................................................................................... 44
III-5 NFS : Network File System ..................................................................... 45
III-5.1 Les démons NFS : mise en place d’NFS ................................................................. 45
III-5.2 Coté serveur ... ......................................................................................................... 46
III-5.3 Coté client ... ............................................................................................................ 47
III-6 Mise en place d’un serveur FTP anonyme ............................................... 48
—————————————————————————————————
IV Troubleshooting et sécurité
IV-1 Troubleshooting ....................................................................................... 50
IV-1.1 Analyse du problème ............................................................................................... 50
IV-1.2 Les programmes utiles ............................................................................................. 50
IV-1.3 Tester la présence sur le réseau ............................................................................... 51
IV-1.4 Tester l’accès au réseau ........................................................................................... 52
IV-1.5 Tester les mises à jour 54
IV-1.6 Tester les routes ouvertes par une connexion .......................................................... 54
67 / 69Administration réseau. V : Bibliographie
Table des matières
I Protocole TCP/IP
I-1 Introduction à TCP/IP ................................................................................ 2
—————————————————————————————————
I-1.1 Un peu d’histoire ....................................................................................................... 2
I-1.2 Spécifités d’utilisation ............................................................................................... 2
I-1.3 Architecture ............................................................................................................... 3
I-1.4 La couche Physique ................................................................................................... 4
I-1.5 La couche IP (Internet Protocol) ............................................................................... 4
I-1.6 La couche transport 6
I-1.7 La couche Application 7
I-2 Le transfert de données .............................................................................. 8
I-2.1 L’adressage IP ........................................................................................................... 8
I-2.2 Les sous-réseaux ........................................................................................................ 9
I-2.3 La table de routage .................................................................................................... 9
I-2.4 La résolution d’adresse ............................................................................................ 11
I-2.5 Protocoles et Ports ................................................................................................... 12
I-3 Le serveur de noms .................................................................................. 14
—————————————————————————————————
I-3.1 Noms et adresses ..................................................................................................... 14
I-3.2 La Host Table .......................................................................................................... 14
I-3.3 Domain Name Service ............................................................................................. 15
I-3.4 Network Information Service 15
II Configuration
II-1 Démarrage ................................................................................................ 16
—————————————————————————————————
II-1.1 Obtention d’une adresse .......................................................................................... 16
II-1.2 Obtention d’un nom de domaine ............................................................................. 17
II-1.3 Choix d’un nom de machine .................................................................................... 17
II-1.4 Planning du routage ................................................................................................. 17
II-1.5 Définition d’un masque de sous-réseau ................................................................... 18
II-1.6 Spécification de l’adresse de diffusion .................................................................... 18
II-1.7 Feuilles de planning 18
II-2 Configuration de l’interface ..................................................................... 19
II-2.1 La commande ifconfig ............................................................................................. 19
II-2.2 Vérification de l’interface avec ifconfig .................................................................. 20
II-2.3 Autres options de ifconfig ....................................................................................... 21
II-2.4 TCP/IP sur une ligne série 22
II-3 Configuration du routage ......................................................................... 23
—————————————————————————————————
II-3.1 Les différentes configurations de routage ............................................................... 23
66 / 69Administration réseau. V : Bibliographie
V Bibliographie
[1] TCP/IP Network administration
Graig HUNT (O’Reilly).
[2] TCP/IP Architecture, Protocoles, Applications
Douglas COMER (Inter-éditions).
[3] Practical Unix Security
Simson GARFINKEL & Gene SPAFFORD (O’Reilly).
[4] Conseil de Sécurité sur l’Administration de Machines Unix sur un Réseau TCP/IP
Jean-Luc ARCHIMBAUD (ftp anonyme sur ftp.urec.fr).
65 / 69Administration réseau. IV : Troubleshooting et sécurité
rassemble les services Internet (Telnet, ftp, mail,...) pour tout le réseau qu’elle protège. Ceci nécessite de
créer des comptes dédiés à ces services, ces comptes sont accessibles par un certain nombre de personnes
du réseau. Dans le cas de secteur très sensibles, c’est une possibilité de trier les personnes de confiances
qui peuvent accéder à ces services qui ont tout l’intérêt d’Internet.
Le crontrôle de routage
Les firewalls ont l’avantage d’être très sûrs, mais le désavantage pour des secteurs moins
sensibles la question de la sécurité de limiter considérablement l’accès au réseau Internet. Une solution
logicielle consiste en l’utilisation d’un avantage du protocol IP. Un site peut être isolé de tout le réseau en
ne désignant dans sa table de routage qu’un seul site de sortie. Donc aucun autre site que celui désigné ne
connaîtra le réseau ainsi protégé. Toute fois ceci nécessite que toutes les machines du site soient
configurées de la même manière.
Le contrôle d’accès
Limiter la table de routage est une solution mais elle ne convient pas une utilisation régulière du
réseau. C’est pourquoi le contrôle d’accès peut être une bonne alternative. Le contrôled’accès consiste en
un fichier qui est consulté par les machines et les routeurs, l’accès est accordé uniquement lorsque le mot
de passe est bon. Le daemon TCPD permet de faire ce contrôle chaque demande d’accès un server (ftp,
rlogin, Telnet,...) Il suffit de spécifier le path de chaque daemon comme tant celui de TCPD dans le fichier
/etc/inetd.conf.
IV-2.6 Conclusion
La sécurité réseau rejoind dans de nombreux cas la sécurité du système. On rappellera que la
sécurité réseau tient tout d’abord l’établissement d’une politique et se poursuit par une surveillance
régulière des fichiers de configuration.
64 / 69Administration réseau. IV : Troubleshooting et sécurité
NFS
Le système de gestion montage d’arborescences de fichiers à travers le réseau conçu par SUN se
réfère à un fichier de configuration /etc/export Chaque système peut préciser les machines auxquelles il
permets de parcourir son arborescence. Il est donc conseillé de ne donner ces droits qu’à des machines de
confiance. D’autre part, il est aussi important de se protéger contre les fichiers exécutables SUID ou SGID
qui pourraient s’y trouver.
Les terminaux
Les terminaux sont souvent nombreux autour d’une machine. les fichiers /etc/ttys ou /etc/tttab
contiennent la liste des écrans en précisant si le root peut se logger directement. En supprimant "secure"
de toutes les lignes, l’administrateur devra donc se logger d’abord sous son nom avant de passer root par
la commande su.
Des logiciels de trop
Les applications systat, tftp, link sont à désactiver en les supprimant du fichier /etc/inetd.conf.
Les commandes rx peuvent propager la brèche dans tout le réseau local. Si le niveau de confidentialité est
élevé, alors il est conseillé de désactiver ces services.
IV-2.5 Les protections
Umask, une protection par défaut
Les fichiers privés par défaut sont un moyen de se préserver contre les intrusions. On a vu la
commande umask qui permet de préciser la protection par défaut des fichiers et des répertoires créés.
Le cryptage
Le cryptage est une solution la confidentialité des données. Deux programmes de cryptage sont
disponibles avec le système UNIX : "des" et "crypt". "Des" est un un programme propre UNIX dont
l’algorithme a été conçu dans les années 70. "Crypt" est un programme dont l’algotithme est celui de la
machine Enigma, il n’est donc pas très fiable car le mécanisme de décryptage est connu de tous.
Les firewalls
Face à ces nombreuses menaces, il peut sembler nécessaire d’isoler les réseaux locaux du réseau
internationnal. Une solution efficace est la machine "firewalls". C’est une machine qui est placée à la
place d’un routeur IP qui sépare deux réseaux ou le réseau local de Internet. On distingue donc les
firewalls internes et les firewalls externes. La machine firewall a la fonction de serveur de noms et
63 / 69Administration réseau. IV : Troubleshooting et sécurité
Les commandes rx
Unix permet aux utilisateurs d’exécuter des commandes sur des machines distantes lorsque les
fichiers hosts.equiv et .rhosts contiennent les coordonnées des machines et des utilisateurs de confiance.
Dans ce cas, les utilisateurs de confiance n’ont pas besoin de préciser un mot de passe.
/etc/hosts.equiv doit contenir le nom des machines ou des groupes de machines qui peuvent
accéder aux services rx sur la machine.
.rhosts est un fichier qui se trouve dans la racine de chaque compte qui contient les comptes qui
peuvent entrer sans mot de passe.
Le cas particulier de rexec est qu’elle demande le mot de passe pour qu’une commande soit exécute
localement et elle renvoie le résultat du test. Ceci peut être une indication de base pour un programme
recherchant un mot de passe. Il est donc vivement conseillé de supprimer rexec du fichier /etc/inetd.conf.
Finger
Cette commande renvoie des informations stockées dans des fichiers réservés à l’utilisateur. Ces
informations telles que le nom, l’adresse, le numéro de téléphone, ... Ces indications peuvent être très
utiles pour un programme de décriptage de mots de passe. Dans des cas sensibles, il est conseillé de
désactiver fingerd, le serveur répondant la demande finger.
Simple Mail Transfert Protocol
Les applications permettant de transférer du courier électronique sont nombreuses. Sendmail est
la plus répendue. Elle fait référence un fichier d’alias : /usr/lib/aliases. Dans sa configuration par défaut,
sendmail peut dérouler des commandes ou ouvrir des shells chez le destinataire sans préciser le mot de
passe. Trois commandes sont dangereuses: debug, wiz et kill, il faut donc vérifier qu’elles ne sont pas
valides par une session Telnet sur localhost smtp. si ces commandes sont valides alors il faut changer de
version de sendmail. Vérifier que des alias decode faisant référence uudecode ne sont pas dans le fichier
aliases.
Quelques lignes de /usr/lib/aliases :
Francois.Borderies:borderie@isis
Borderies:borderie@isis
Jean-Christophe.Denis:denis@isis
Denis:denis@isis
Vérifier que qu’il n’y a pas de mot de passe pour un éventuel «magicien» dans le fichier sendmail.cf :
# let the wizarddo what he wants
OWstir68ods
est a remplacer par :
#do not let the wizard do anything
OW*
62 / 69Administration réseau. IV : Troubleshooting et sécurité
IV-2.4 Applications
UUCP et UUX
Ce programme est le premier utilitaire qui fut disponible sous UNIX pour que des machines
distantes puissent communiquer. UUCP est Unix to Unix copy et UUX est Unix to Unix eXecute.
uucp /file imag!/file
Pour la copie d’un fichier sur une machine distante
uucp ensisun!/file imag!/file
Pour la copie de fichier entre deux machines distantes.
Soulignons que en Cshell ! est une commande permettant de rappeler la dernière commande exécutée, il
faut donc préciser le caractére par \!.
Uux permet d’exécuter une commande sur une machine distante en lui précisant le fichier qu’elle doit
prendre en entrée.
uux -system!commande<inputfile
Les ordres et l’adresse du fichier d’entrée sont tout d’abord stockés dans un Spooler en attendant d’être
effectivement executés sur la machine.
Le programme uucico (Unix to Unix Copy in copy out) est chargé de relever le login du uucp et de le
comparer celui du compte uucp de la machine distante qui se trouve dans /etc/passwd. Le fichier
exécutable uucp est SUID uucp (nom de l’utilisateur particulier) ceci limite l’accès au compte uucp et aux
fichiers world writable ou world readable.
Dans la version 2, il existe des fichiers de configuration, on en retiendra trois : USERFILE, l.cmds et l.sys.
L.sys : contient les coordonnées des machines et des personnes qui peuvent accéder au service
uucp d’une machine distante.
L.cmds : contient le PATH local au compte uucp ce qui permet de limiter les exécutables
accessibles, suivit des applications qui peuvent avoir accès aux services de uucp, on inclut
souvent rmail, rnews, lpr, who, finger ...
USERFILE : spécifie les répertoires qui peuvent être ouverts par uucp, si la machine distante doit
rappeler son identité et quels fichiers peuvent être transférés.
Précautions : ces fichiers sont a protéger pour que personne puisse les lire à part le root. Le compte uucp
doit contenir le moins de répertoires possibles, il faut donner un login par machine distante et limiter les
commandes utilisables.
61 / 69Administration réseau. IV : Troubleshooting et sécurité
IV-2.3 Les fichiers
Pour avoir une vue correcte de la vulnérabilité des fichiers, il est important de rappeler comment
un fichier est représente dans le système UNIX. Un fichier est stock sur disque avec un certain nombres
d’informations gérées par UNIX : l’emplacement sur le disque, le type, le taille, ctime, mtime, atime,
owner, group. La commande ls permet d’accéder à ces informations.
-rwx------ 1 denis 245 Apr 2 14:26 .xsession~
drwxr-xr-x 6 denis 512 Nov 13 1992 ALGO
- : plain file
d : directory
c : device (printer tty,...)
b : lock device (disk, tape,...)
l : link (BSD)
s : socket (BSD)
= : FIFO (Sys V)
r : read
w : write
x : execute
s : set mode
Chmod et Umask sont des commandes UNIX permettant de spécifier ou de modifier le mode des
fichiers. Umask est la commande qui précise le mode par défaut lors de la création d’un fichier ou d’un
répertoire. Ceci est spécifié dans le fichier .login ou .profile ou .cshrc. On soulignera que cette commande
s’exécute comme cd sous le shell courant. Umask fait un & avec le masque où tous les bits sont à un.
SUID et SGID
L’intérêt d’UNIX est que tout a une représentation de fichier. On a pu remarquer que certain
fichiers peuvent être exécutables et donc provoquer la naissance d’un process fils du shell qui a ouvert le
fichier exécutable. On peut donc imaginer que des commandes (donc des fichiers excutables) aient plus
de privilèges que les utilisateurs normaux, ils sont SUID ou SGID. C’est le cas de "passwd" qui a le droit
de modifier le le fichier /etc/passwd. Tout fichier peut devenir SUID ou SGID. Ces fichiers sont
représentés par le masque du type : -rwsr-s-r-t.
La dernière lettre signifie que le fichier est "sticky", après sont exécution, il ne sera pas enlevé de
la zone mémoire qui lui est affecté ce qui permet d’y accéder très rapidement. Les premières versions
d’UNIX permettaient de faire une copie du shell avec le privilège SUID au nom du root, cette brêche a été
rapidement colmatée et on ne peut plus faire de copie SUID de shell si l’on est pas déjà root. Il est donc
important pour l’administrateur de connaître tous les fichiers SUID présents.
#find /-perm -002000 -o -perm -004000 -type f -print
Lors du montage des fichiers distants, il est aussi important qu’aucun fichier ne soit exécutables SUID ou
SGID en BSD, la commande est :
#mount -o -nosuid imag:/athena /usr/athena.
60 / 69